第III部 わが国の防衛のための諸施策 

2 インターネットを通じた情報流出事案への取組

(1)情報流出事案の発生とその背景

 防衛省・自衛隊においては、昨年2月、海上自衛隊の護衛艦「あさゆき」の秘密情報が、私有パソコンからファイル共有ソフトを介して流出したことが判明するなど、一連のインターネットを通じた情報流出事案が発生した。
 このような情報流出事案の発生の背景には、近年の急速なIT化の流れに、防衛省・自衛隊における情報管理体制・意識が追いつかなかったことが挙げられる。
 具体的には、一般社会において、パソコンや可搬記憶媒体の普及、高性能化、大容量化などにより情報の電子データ化が進み、膨大な量の情報を容易に保存、複製または携帯することが可能となり、また、パソコンによるプレゼンテーションなども盛んになるとともに、音楽や動画などもパソコンで取り扱うことができるようになった。一方、防衛省・自衛隊においては、97(平成9)年頃より内部部局など中央組織における業務用パソコンの導入を計画的に実施してきたが、約27万人の人員を擁し、全国各地に部隊・機関などを配置していることや、野外や艦上での活動を基本とするといった部隊の特性などがあり、地方の組織への導入は遅れ、多数の私有パソコンや可搬記憶媒体が職場に持ち込まれ、使用される状態となった。その結果、多数の私有パソコンや可搬記憶媒体で、業務用データと音楽などの個人で取り扱うデータが混在する状況が発生し、私有パソコンなどを持ち帰る際などに、個人で取り扱うデータに紛れるなどして業務用データが自宅に持ち出される結果を招くことになった。こうした中で、ファイル共有ソフトを介してインターネット上へ情報が流出する事案が発生するに至ったと考えられる。

(2)再発防止のための取組

ア 緊急対策
 昨年2月、情報流出事案の発生を受け、防衛省では、次からなる緊急対策を実施した。
(ア)職務上使用する私有パソコンなどにファイル共有ソフトが入っている場合には直ちに削除すること。
(イ)私有パソコンなどに保存されている業務用データのうち、秘密の情報および必要のないデータを直ちに削除すること。
(ウ)許可を得れば認められていた私有パソコンなどによる秘密情報の取扱いを全面禁止すること。

イ 再発防止に係る抜本的対策
 緊急対策の実施に加え、同年2月、防衛庁長官政務官(当時)を委員長とする秘密電子計算機情報流出等再発防止に係る抜本的対策に関する検討会を設置し、再発防止に係る抜本的対策の具体的措置を取りまとめ、同年4月12日に公表した。
 さらに、同月以降は、この抜本的対策を推進する観点から、防衛大臣政務官を委員長とし、防衛省内全機関の長などをメンバーとする「秘密電子計算機情報流出等再発防止に係る対策実施委員会」を開催し、対策の実施を監督するなどしてきており、以下のように具体的措置の実施に取り組んできた。

(ア)情報セキュリティの観点からの具体的措置
a 新たな技術の導入など技術的・設備的対策の実施
 ○官給品のパソコン約5万6,000台を緊急調達し、昨年11月までに職場から私有パソコンを一掃
 ○可搬記憶媒体による業務用データの流出を防止するため、可搬記憶媒体に保存されるデータを自動的に暗号化するソフトを導入するなどの対策を実施
b 制度の見直し
 ○官品パソコンの整備に伴い、職場への私有パソコンの持ち込みを全面禁止
 ○昨年4月から私有可搬記憶媒体の使用を全面禁止、官品可搬記憶媒体を集中管理
 ○インターネット上への情報流出事案への全省的な対応要領を策定
 ○抜き打ち検査を含む情報セキュリティに関する制度の遵守状況調査を実施
c 教育の強化
 ○情報セキュリティや秘密保全に関する制度、情報流出防止に関する情報について、職員の階級および取扱う情報などに応じた教育を定期的に実施
 ○情報システムを活用した周知方法の改善のほか、各職員の疑問にきめ細かな対応を迅速に行えるよう、情報セキュリティに関する相談を受け付ける窓口(ヘルプデスク)を各機関に設置

(イ)秘密保全の観点からの抜本的対策
a 抑止力の強化
 ○秘密文書などについて、その内容を精査し、相対的に軽度の罰則の担保の下に置かれている「省秘(機密・極秘・秘)」を、より重い罰則で担保される「防衛秘密」へ移行して抑止効果を向上することとし、本年4月で移行を完了
 ○秘密指定の厳格化措置などを講じることにより、過剰な秘密指定を防止するとともに、既存の秘密文書などについて、実質秘性を喪失しているものは指定を解除するなど、不必要な秘密文書などを削減
 ○秘密保全に係る重い責任を自覚させるため、秘密を取り扱う全職員に対し、「誓約書」の提出を義務付けることなど
b 検査態勢の強化
  可搬記憶媒体などによる秘密情報の持出しや不適切な保存などを防止するため、抜き打ち検査を実施(立入禁止区域などへの出入りの際の所持品検査、秘密の取り扱いを許されていないパソコン内に保存されているデータの検査および秘密に関わる企業を対象とした保全検査などの抜き打ち検査)

(ウ)懲戒処分の観点からの抜本的対策
 インターネット社会における情報流出事案について違反行為を類型化し管理責任者などを含めて厳しく処分される旨、処分基準を明確化することにより、関係者の保全意識と責任の自覚を高めるとともに、処分による抑止力を強化

ウ さらなる対策
 上記対策を進める中、昨年11月、航空自衛隊那覇基地において情報流出事案が発生したことを受け、防衛省では、次からなるさらなる対策を秘密電子計算機情報流出等再発防止に係る対策実施委員会で取りまとめ、本年1月19日公表し、実施した。

(ア)抜本的対策の徹底
a 個々の隊員に情報流出の脅威を理解させるための事例集を作成配布するとともに、隊員の理解度を確認
b 毎年2月を「防衛省情報セキュリティ月間」とし、啓発活動などを実施

(イ)隊員が制度を遵守しないことへの対応
a 私有可搬記憶媒体の持ち込みなどに対する点検を強化
b 本人の同意を得て自宅の私有パソコンの確認などを行うことにより、業務用データを私有パソコンなどに保存しないことを再徹底するとともに、ファイル共有ソフトによる情報流出の脅威について教育を行い、ファイル共有ソフトの削除を推進

(ウ)情報流出防止のための管理体制の強化
a 管理者の補助者について単に役職指定することなく、パソコンの取り扱いなどの知見を考慮して指定することにより、管理者を適切に補助する体制を整備
b 管理者の監督が行き届きにくい特殊な勤務状況となる者に対する教育・点検を強化

 

前の項目に戻る     次の項目に進む